Сегодня первый раз за всю свою практику участия в reward программе пообщался лично с обратной стороной силы.

С теми людьми, которые уязвимости разбирают, проверяют, и, собственно, выписывают счастливые письма и чеки с вознаграждениями – я был в Яндексе.

Конечно, бывал там пару раз и раньше и общался с ребятами в разных неформальных обстановках, но сейчас приехал по приглашению именно в рамках reward программы #YandexBugsBounty.

Пожалуй, это самое важно, что отличает программу Яндекса от других – возможность общения напрямую с обратной стороной, без почты, телефонов, телеграфов и прочего ненужного барахла – лично. Это можно было сделать и на прошедшей на днях ZeroNights, и по такому вот приглашению, случайно (ну почти случайно…) выпавшему мне сегодня.

Мы общались за кофе и троллили друг-друга с @oxdef, @kyprizel, a2f3x7, Юрой (не знаю твиттер и ник) и пару раз даже пересеклись с @toxo4ka

Прежде всего забавно, что изнутри все кажется совсем не так, как снаружи, а снаружи, не так, как изнутри (кто бы могу подумать %) ) Наши оппоненты и строгие судьи сидят во вполне себе приличном помещении, полным всяческих схем/паролей/секретов на стенах, которые строго запретили снимать и даже засветили пленки (см. выше, белый кусочек – та самая секретная стена)

<=== Другую, незанятую секретными данными стену, разрешили снимать, вот так весело и задорно грамоты ФСБ (тро-ло-ло, – это только календарь) сочетаются с масками Anonymous.

 

 

По делу обсуждали мы плюсы/минусы программы вознаграждения Яндекса и отличия ее от других программ, того же Google, PayPal и Facebook. Я пришел с главными вопросами, которые имел по опыту отправки уязвимостей и получил понятные ответы:

  • Оплата за уязвимости, или за их импакт? То есть стоит ли раскручивать ту же SQLi, или сумма вознаграждения не зависит от того, можно ли через нее писать файлы и делать RCE или только читать одну единственную пустую табличку в базе.

Оплата за уязвимости, даже SQLi в пустой табличке это 25к или 30к (в зависимости от сервиса – критичный/некритичный). НО! Организатор оставляет за собой право повысить сумму вознаграждения по своему усмотрению. Это усмотрение может зависеть от демонстрации эксплуатации, а может и нет.

  • Являются ли уязвимости, не входящими в таблицу выплат оплачиваемыми? Например, если вдруг нашли RCE от пользователя nobody, считается ли забытый init.d скрипт с правами 777 уязвимостью LPE, оплачивает ли он отдельно? Что если найти конфиденциальные данные про внутренности Яндекса в Гугле %) ? – заплатите?

Нет, не оплачивается. В приведенном примере, скорее всего, было бы повышение суммы выплаты на усмотрение ревьювера (человеческий фактор). За конфиги и прочие вкусности, найденные в Гугле про внутренний Яндекс оплаты нет, но высылайте, конечно %)

  • Была ли уже практика оплаты суммы, превышающей таблицу выплат?

Да была один раз (как я понял, за крутой client-side дали больше 10k рублей)

  • Можно ли оспаривать сумму выплаты?

Да (!!!), можно, с четкой аргументацией (кстати, займусь сейчас этим делом для одной из своих багов, о результатах напишу позже в твиттере @d0znpp)

  • Как долго можно ждать денег после отправки своих паспортных данных и реквизитов в ответ на “письмо счастья” с суммой приза

До 30 дней

  • Будет ли стена участников, в каком виде?

Будет в ближайщее время (до НГ? – хз), – просто список всех, получивших выплаты, без рейтинга, без скоров.

  •  Как различаются уязвимости? Поясню – нашел, например, человек 10 XSS в одном параметре на 10 поддоменах yandex.ru – это 10 раз по 5к руб. или всего 1 раз?

Это всего одна уязвимость. Меряется максимально доступной ручке со стороны Интернета, то есть, если 10 поддоменов дергают один уязвимый скрипт с x.yandex.ru – это одна уязвимость. Тоже самое, если имеет место копи-паст уязвимого кода (JS, например) на 10 поддоменах – это одна уязвимость.  Также, если 10 разных формочек и 50 страниц дергают 1 уязвимый ajax скрипт – это одна уязвимость и одна оплата. Немного другое дело, когда со стороны пользователя дергаются разные скрипты, но на бэкэнде фактически вызывается один функционал. В этом случае вопрос обсуждаемый, но, скорее всего, это одна уязвимость также (посоветовал ребятам дописать это в политику о конкурсе, иначе не очень понятно)

На этом наш 2,5 часовой троллинг диалог завершился и я поехал домой – довольный и воодушевленный – будем спорить, будем обсуждать %)

Надеюсь, что передал вопросы от большинства участников #YandexBugsBounty, если что-то осталось незаданным, пишите!

Всем удачной охоты!